QNH gebruikt cookies op haar website om het gebruik van de website te analyseren, gebruiksgemak te verbeteren, voor social media en om ervoor te zorgen dat u relevante informatie te zien krijgt wanneer u gebruik maakt van de QNH website. Meer informatie over de cookies kunt u vinden in ons privacy- en cookiestatement. Door akkoord te gaan met onze cookies gaat u akkoord met de bovenstaande cookies. Gaat u niet akkoord dan worden alleen de functionele cookies ingeladen, sommige functionaliteiten zullen dan ook uitgeschakeld zijn. U geeft door gebruik te blijven maken van deze website toestemming voor het gebruik van cookies en het verwerken van op deze wijze verkregen persoonsgegevens, zoals in ons privacystatement vermeld.

Deze blog is een vervolg op mijn eerdere blog ‘De drie voordelen van Identity as a Service‘. Dit keer ga ik in op de voor- en nadelen van de IDaaS producten van de drie marktleiders. Verschillende belangrijke termen (provisioning/ Multifactor Authentication (MFA)/ Single-Sign-On (SSO)) zijn niet verwerkt in deze blogpost, omdat alle leiders van IDaaS deze basis IDaaS-functionaliteiten bevatten.

Gartner’s Magic Quadrant

Onderzoeksbureau Gartner heeft afgelopen jaar in juni een nieuwe Magic Quadrant Access Management (AM) gepubliceerd. In een Magic Quadrant maakt Gartner een tabel met vier kenmerkende niveaus, namelijk:

  • Leaders
  • Challengers
  • Visionairs
  • Niche Players

De plaatsing van de namen in de tabel zijn gebaseerd op de H-waarde (Horizontaal; Compleetheid van visie) en de V-waarde (Verticaal; Het verwezenlijken van die ideeën). De leaders staan daarom rechtsboven in de hoek met de meeste “Completeness of Vision” en de “Ability to Execute”. Forrester heeft ook een vergelijkbaar onderzoek gedaan waarbij de focus ligt op simpliciteit, SSO en Directory integration.

De leveranciers in het IDaaS segment blijven toenemen. In deze blog neem ik op basis van Gartner’s Magic Quadrant de drie ‘leaders in IDaaS’  (Okta, Ping Identity en Microsoft) onder de loep.

 

Platform: Okta

Okta wordt primair gebruikt door bedrijven die werken met grote aantallen web-gebaseerde applicaties. Door middel van de simplistische en minimalistische indeling, veel beschikbare grafische weergaven en snelle reacties vanuit het Okta team, is Okta benoemd tot een van de grootste (als niet de grootste) marktleiders in IDaaS.

IDaaS Okta Dashboard

Figuur 1 – Okta Dasboard, bron.

Potentiele voordelen

Okta levert IAM functionaliteiten door middel van een multi-tenant IDaaS model. Een van de onderscheidende kwaliteiten van Okta is het Okta Application Network (OAN). Dit is met 5700 kant-en-klare apps de grootste verzameling van voor-geconfigureerde applicaties (beschikbaar sinds april 2018 en groeit dagelijks). Echter, omdat nog lang niet alle applicaties in deze ‘app-store’ staan, wordt nog altijd veel gebruik gemaakt van het “handmatig” koppelen van applicaties. Daarnaast is er de mogelijkheid om verschillende templates voor applicaties te maken, gemaakte applicaties te klonen en heeft het een uitgebreide API support. Okta levert wekelijkse updates uit en heeft een Early Access (EA) platform beschikbaar. De EA features kunnen op aanvraag ook op de productie omgeving worden aangezet. De support van Okta is erg uitgebreid. Denk aan specialisten van Okta die langs komen op locatie, mogelijkheid om cases te openen, fora, webinars en telefonisch contact met het (Nederlandse) supportteam.

Potentiele nadelen

Okta heeft standaard geen reverse-proxy functionaliteiten voor haar applicaties die HTTP header-based authenticatie vereisen. De makkelijkste manier om applicaties toe te voegen is met de Okta browser-plugin (vergelijkbaar met de Microsoft-browser–plugin). Dit noemen zij Secure Web Authentication (SWA). De Identity Provider (IdP) of de lokale browser-plugin wordt alleen gebruikt als ‘password vault’ en niet om via assertions/tokens toegang te krijgen tot de benodigde applicaties. SAML/OIDC standaarden hebben daarom nog altijd de voorkeur voor een veilige connectie. Daarnaast maakt Okta gebruik van Enterprise mobility management (EMM) functionaliteiten die slechts beperkt zijn tot alleen administratieve functies en applicatie provisioning. Doordat Okta vorig jaar (2017) haar prijzen heeft verhoogd, is Okta (standaard) een van de prijzigste IDaaS oplossingen. Voor bepaalde aanvragen van het Okta support team kunnen extra kosten worden gecreëerd (afhankelijk van het afgesloten contract).

 

Platform: Ping Identity

Ping Identity is verkrijgbaar in verschillende uitvoeringen met verschillende tools waarbij PingOne de Cloud variant is. PingOne is ook een multi-tenant IDaaS model welke gecombineerd kan worden met andere Ping-onderdelen zoals PingFederate, PingAccess en PingID afhankelijk van de gewenste doelstellingen van de organisatie. PingOne Dock is een browser gebaseerde interface om gemakkelijk en snel toegang te krijgen tot de toegevoegde applicaties.

 

IDaaS Ping Identity dashboard

Figuur 2 – Ping Identity dashboard, bron.

 

 

 

 

 

 

 

 

 

 

 

 

 

Potentiele voordelen

Door de samenwerking met Microsoft is Ping Identity flexibeler geworden. Daarnaast is Ping Identity een van de weinige IAM leveranciers in dit lijstje die gebruik kan maken van een uitgebreid API-gebaseerde authenticatie en autorisatie systeem. Ping Identity integreert ook goed met Microsoft Azure producten. Dit maakt een combinatie tussen Microsoft en Ping producten mogelijk. Een belangrijke integratie van Ping bij Microsoft is de PingAccess for Azure AD. Dit zorgt voor meer integratiemogelijkheden voor (legacy) on-premises web applicaties. Daarmee is Ping Federate de snelst groeiende third-party optie voor authenticatie op een Microsoft Azure server.

Potentiele nadelen

Door de grote flexibiliteit van Ping Identity kunnen sneller complexe problemen ontstaan. Hun doelgroep is daarom meestal ook grotere organisaties. Ping Identity heeft regelmatig een specifieke aanpak nodig en  kan daardoor ook behoren tot een van de duurdere IDaaS oplossingen voor een organisatie. De access event reporting monitoring tooling is volgends Gartner  aan de schaarse kant voor een product van dit kaliber. Het werken met meerdere verschillende soorten tooling kan zowel voor- als nadelen hebben. Ik zet dit tóch bij een potentieel nadeel,  omdat men meer compleetheid mag verwachten van een Enterprise IDaaS product. De tekortkomingen van Ping Identity kunnen worden opgevuld met mogelijkheden van Microsoft Azure.

 

Platform: Microsoft Azure

De IDaaS oplossing van Microsoft is Microsoft Azure Active Directory (AD) Premium. De Premium versie geeft toegang tot uitgebreidere tooling zoals reporting en security analytics. Waarbij extra functionaliteiten van Microsoft Azure (zoals Privileged Identity Management, Integratie van externe MFA-partners en CAS-proxies) beschikbaar zijn in het Microsoft Azure AD Premium 2 product. Microsoft is al jaren een marktleider in IAM en heeft daarom een sterk volwassenheidsmodel ten aanzien van nieuwkomers.

Zoals verwacht integreren nieuwe Microsoft producten goed met bestaande Microsoft producten. Indien het bedrijf gebruik maakt van (on-premise) Microsoft onderdelen kan al het snel lonend zijn om naar een Microsoft Cloud oplossing te gaan kijken.

IDaaS Azure dashboard

Figuur 3 – Azure dashboard, bron.

 

 

 

 

 

 

 

 

Potentiele voordelen

Een van de sterkste motivaties om een Microsoft Cloud oplossing te selecteren is als de organisatie al gebruik maakt van andere Microsoft oplossingen. Denk hierbij aan een Microsoft Azure AD premium pakket samen met Enterprise suites, Office 365, OMS en Cloud Access Security Brokers (CASB). Microsoft heeft de mogelijkheid om te starten met een gratis Microsoft abonnement waar applicaties te koppelen zijn aan een gebruikersportaal. Dit is een groot voordeel ten aanzien van de andere IDaaS leveranciers, waarbij betaald dient te worden of een EA/dev/preview omgeving nodig is. Dit creëert ook de mogelijkheid om door te schalen naar extra features (zoals een Premium (2) versie) indien organisaties daar behoefte aan hebben. Door de jaren heen heeft Microsoft een sterk volwassenheidsmodel gecreëerd met een groot klantenbestand en wordt het op vele plekken op de wereld al gebruikt. Vanwege de grote inzetbaarheid van Microsoft producten zijn er veel oplossingen die compatible zijn met Microsoft.

Potentiele nadelen

Om verschillende soorten legacy applicaties aan te sluiten kunnen verschillende soorten tooling benodigd zijn. Dit heeft Ping Identity opgepakt in de samenwerking met Microsoft. PingAccess van Ping Identity wordt gebruikt om applicaties te koppelen die geen open standaard ondersteunen. Echter kan dit ook worden gezien als een voordeel. Net als Okta heeft Microsoft Azure een mogelijkheid tot een vorm van SWA, genaamd: Password-based SSO. Dit gebeurt ook via een web-browser extension of mobiele app. De meeste standaard Microsoft Azure onderdelen zijn volwassen en langer beschikbaar dan haar concurrenten. Echter, de Business-to-Consumer (B2C) en Business-to-Business (B2B) onderdelen zijn relatief gezien nog nieuw en daarom niet zo volwassen dan andere producten van Microsoft.

 

Aanbevelingen IDaaS leverancier keuze

Volgens Gartner zal in 2019 meer dan 80 procent van de organisaties AM software of services gebruiken (ten aanzien van 55 procent in 2017). Op basis van bovenstaande input adviseer ik het volgende.

  • Als je al in een Microsoft huis zit, dan kan de Microsoft Cloud een passende oplossing zijn.
  • Als de focus ligt op het beschikbaar stellen van grote aantallen SaaS-toepassingen, ga dan voor Okta.
  • Is er veel behoefte aan uitgebreide en complexe en op maat gemaakte oplossingen? Ga dan voor PingID/Azure.

 

Heb jij andere ervaringen of toevoegingen? Dan  hoor ik ze natuurlijk heel graag! Laat onderstaand gerust een reactie achter.


Delen op social media


Contact

Amsterdam

+31 20 460 9609

Rotterdam

+31 10 333 0813

Groningen

+31 50 520 1888

Eindhoven

+31 40 230 5624

Maastricht

+31 43 207 3050

Hasselt (België)

+32 11 771 277

Twitter